张晓阳-DevSecOps安全提效与质量管控.pdf

《张晓阳-DevSecOps安全提效与质量管控.pdf》由会员分享，可在线阅读，更多相关《张晓阳-DevSecOps安全提效与质量管控.pdf（24页珍藏版）》请在三个皮匠报告上搜索。

1、DevSecOps安全提效与质量管控构建高效安全的开发运维体系汇报人:张晓阳ZHIWEN.XFYUN.CN安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加个人介绍个人特点安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加目录沿开发工作流“逆流而上01平台建设闭环管理04以时间和空间为卡点02大模型在安全治理的探索05底线思维提效03CONTENT安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加01沿开发工作流“逆流而上安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加沿开发工作流“逆流而上”开发工作流-产品，流程，技术1.产品按着版本计划开发2.产品

2、多样但遵循相似的流程开发3.产品不同阶段有不同领域专家支撑4.产品开发过程需求需要明确5.产品希望通过平台间协作管理1.业务每个阶段闭环后向后一个阶段交付2.每个阶段都会保留标准物料产出3.提测，发布节点对版本质量进行审查4.对过程数据集中梳理形成质量评分1.业务开发技术不断进行升级更新2.产品形态跟随技术更新越来越多3.技术升级更新带来新的安全挑战安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加沿开发工作流“逆流而上”逆流而上的最佳实践-凿山开路与业务达成共识1.安全活动成本决定业务的响应时间2.安全活动易用性决定项目覆盖率3.安全支撑度决定业务的配合度4.漏洞正报率决定漏洞修复

3、率安全管理的价值1.可量化数值大于数量增长数值2.管理制度要求需要平台做抓手3.做业务当前最关注的安全问题4.一个标杆项目大于一个专家技术发展1.关注科技技术迭代2.关注业务技术迭代3.关注安全技术迭代安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加02以时间和空间为卡点安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加快速迭代安全考量迭代速度与安全平衡1.业务快速迭代追求效率2.技术的迭代带来安全的需求更高3.在DevSecOps中，要找到两者平衡点安全投入和基础设施1.当前安全工具和安全投入有哪些2.公司基础设施的支撑程度3.业务项目模式复杂如何设定标准关键节点点进行

4、指引和审核1.通过平台进行安全活动指引和引导2.项目的关键节点通过平台进行审查安全测试融入迭代1.将安全测试低成本融入快速迭代流程2.自动化程度会带来更好的融入效果安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加代码仓库依赖源公用组件需求开发规划文档需求文档设计文档打包集成部署机器IP域名测试制品仓库镜像仓库发布上线信息IP，域名发布后安全底线编码规范SCASASTAPP扫描DASTIAST隐私合规检测人工安全测试安全发布审核外部渗透SASTSCA安全需求分析镜像扫描自动化巡检DAST扫描时间、空间的关键卡点提测发布立项时间空间安世加安世加安世加安世加安世加安世加安世加安世加安世加

5、安世加Devsecops关键卡点安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加讯飞集团关键卡点立项1.安全BP跟进项目计划-安全平台协同2.根据项目情况制定项目安全活动-底线预设3.立项评审与项目经理达成一致确保安全质量提测1.在提测时完成安全提测-需求平台2.安全平台同步信息到需求平台3.安全提测将安全在流水线中完成预设发布1.发布评审完成安全问题闭环2.质量门禁中增加安全门禁进行发布提醒（暂未强制阻塞）3.安全门禁进行发布安全状态留痕用作溯源安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加03底线思维提效安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加

6、明确安全底线实施策略安全底线定义与范畴安全底线是保障安全的基准，涵盖策略、流程等，明确其数量，具体要求是实施策略的基础。风险评估确定安全底线通过全面风险评估，识别潜在威胁，据此精准确定安全底线的具体内容。安全底线的选择和下发通过平台实现不同类型和不同等级项目差异化制定，确保安全底线的有效性与可行性。安全底线实施的步骤规划详细规划安全底线实施工具建设，保障策略能顺利落地执行。安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加三、底线思维提效集团底线（项目类型，安全活动，安全漏洞级别）BG1（安全活动调整，安全漏洞级别调整）BG2BU1.产研项目交